文章图片
坏就坏在这个远程下载上了 。。。
黑客只要通过 JNDI 的方法连接上自己的恶意服务器 , 就可以堂而皇之从这个接口进来 , 继而攻破整栋固若金汤的大厦 。
文章图片
这里世超用尽可能简单的说法解释了一下这个漏洞 , 如果差友们对具体的实现方式有兴趣 , 可以看下知乎上轩辕之风大佬写的这篇文章 , 介绍的很详尽了 。
那么问题来了 , 为什么这个漏洞在被发现之后过了这么久 , 才被重视起来?
外行看热闹 , 内行看门道 , 有些事儿还真得问问业内人士 。
于是世超咨询了国内知名的白帽网站—— 火线安全平台的小火子同学 , 聊了一通之后 , 大致了解了专业人士对这件事儿的看法 。
文章图片
实际上 Log4J2 漏洞产生的原因 , 是因为部分程序员想要开发者保留在 Lookups 中 JNDI 的实现方式的旧功能而引起的 。
【黑客|让全世界大厂都手忙脚乱的代码漏洞,是怎么一步步成为噩梦的?】根据 Log4J2 的维护者 Volkan Yaz?c? 的说法 , 他们早就想把这个有风险的功能给去了 , 但为了保证向后的兼容性 , 照顾到想要用这个功能的程序员 , 所以还是保留了下来 。
文章图片
好嘛 , 小洞不补、大洞吃苦 ,这个高危漏洞被发现之后 ,Log4J2 实际的管理机构 Apache 软件基金会并没能引起足够的重视 , 披露漏洞的流程也没有按流程来走 。
文章图片
他们直接把问题往开源平台 Github 的 issue 里一贴 , 期待能有好心人给出解决问题得方案 。
但这是个开放平台啊 , 有程序员同样也有黑客 。。。
这波操作等于告诉了全世界的黑客: “ 咱这软件有高危漏洞哈 , 欢迎来捅! ”
文章图片
甚至在漏洞全面爆发之前 , 就已经有白客们在 issue 中公开讨论过具体的修复细节 。
文章图片
可惜的是 , 等到所有用到使用 Log4J2 的业务系统反应过来有这个漏洞 , 已经过去了很长一段时间了 。
因为使用 Log4J2 组件的软件实在太多 , 所以 互联网公司的安全部门要一个个软件做修复和升级 , 这里头的工作量也可想而知 。
推荐阅读
- 代码|GGV纪源资本连投三轮,这家无代码公司想让运营流程变简单
- 智能化|适老化服务让银行更有温度
- bug|这款小工具让你的Win10用上“Win11亚克力半透明菜单”
- 软件和应用|AcrylicMenus:让Windows 10右键菜单获得半透明效果
- ASUS|ROG Maximus Z690 APEX DDR5主板实测 转接卡让DDR4内存顺利点亮
- 电子商务|员工抱怨亚马逊太冷酷:工伤后得不到赔偿 还不让休假
- 猎豹|数字化助力实体消费 机器人让商场“热”起来
- 服务|互联网+税务让服务更优质 杭州代开发票税务进入新局面
- 端口|俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
- 手机|1千亿让小米超越苹果?别被雷军的障眼法,忽悠了